null Beeld colourbox
Beeld colourbox

EssayDigital Identity Wallet

Europa bouwt onze digitale ik, moeten we daar blij mee zijn?

Europa werkt in hoog tempo aan een digitale identiteit voor elke EU-burger. En hoewel het reuzehandig is om straks overal in de EU zonder rompslomp een auto te kunnen huren, ziet Bart Custers nog veel losse eindjes.

Bart Custers

Stel dat je op het internet een heel bijzonder bijzettafeltje ziet, precies zo eentje dat je al jaren zocht. Je wilt het hebben! Het wordt in Polen geproduceerd, door Stoliki Boczne Spolki Prywatnej. Ze hebben een mooie website, maar hoe weet je of ze te vertrouwen zijn?

Of omgekeerd, stel dat dit Poolse bedrijf een miljoenenorder ontvangt van een Italiaan genaamd Marco Bianchi. Het bedrijf wil uitzoeken of deze man een betrouwbare zakenpartner is, maar er zijn duizenden Italianen met die naam. Hoe weet het bedrijf of het de juiste persoon in de peiling heeft?

Bij transacties op het internet is het belangrijk om te weten met wie je zaken doet. Anders lopen burgers en bedrijven kans op een financiële strop. Zijn de risico’s te groot en de zekerheden te klein, dan zien ze er maar liever van af. Gebeurt dat op grote schaal, dan verhindert dat de groei van de economie binnen de Europese Unie.

Terwijl de Europese Commissie die groei juist wil aanjagen door één open en vrije markt te creëren binnen de EU, ook op het internet. Economische groei zorgt ervoor dat de EU haar relevantie behoudt in de wereldeconomie en de concurrentie aankan met de Verenigde Staten en China.

Met dat idee in het achterhoofd krijgt elke EU-burger straks een Europese digitale identiteit, als het aan de Europese Commissie ligt.

Papieren werkelijkheid

Helemaal nieuw is het idee niet. Al sinds 2014 bestaat er de eIDAS-verordening, waar u wellicht nog nooit van heeft gehoord. Die beoogt online-identificatie en -authenticatie in alle lidstaten te harmoniseren: elektronische handtekeningen en digitale certificaten moeten het mogelijk maken dat iedereen kan checken of dat Poolse meubelbedrijf echt bestaat of met welke Marco Bianchi men zaken doet.

Maar het is een papieren werkelijkheid. Iedere EU-lidstaat moest zelf zijn technologie bedenken. Slechts de helft deed dat én kreeg er de goedkeuring van de Commissie voor. En ook aan de goedgekeurde systemen kleven nadelen.

Zo kreeg Nederland een akkoord op zijn DigiD en heeft België CSAM, vergelijkbaar met DigiD. Dat zijn beide nationale oplossingen, die niet erg geschikt zijn voor grensoverschrijdende transacties. En net als deze twee, regelen veel van de goedgekeurde systemen het contact tussen overheid en burger, niet tussen burgers en bedrijven of bedrijven onderling.

In plaats van door te modderen, kwam de Europese Commissie juni vorig jaar met een nieuw plan. Ze wil een ­European Digital Identity Wallet – helaas heeft die nog geen Nederlandse naam – invoeren, verplicht voor alle EU-burgers. Denk daarbij niet zozeer aan een portemonnee voor geld, maar aan een portefeuille vol documenten.

Die nieuwe wallet moet veel breder bruikbaar zijn, over landsgrenzen heen. Ja, hij is er ook voor overheidscommunicatie, maar is vooral bedoeld voor burgers en bedrijven onderling. Met die wallet schroeft de Europese Commissie haar ambitie om van alle lidstaten één markt te maken flink op. De wallet moet geschikt zijn voor van alles en nog wat: om in het buitenland een bankrekening te openen, om op vakantie een auto te huren of in te checken in een hotel, zonder dat daar nog een rijbewijs of paspoort aan te pas komt.

De wallet volstaat in ieder Europees land. Als het aan de EU ligt, kan een Portugees die in Duitsland woont en in Nederland werkt er zelfs belastingaangifte mee doen in elk van die landen.

Een soort Thuiswinkel Waarborg

Met die nieuwe digitale identiteit kun je juridische documenten ondertekenen zonder iets te printen. Bedrijven kunnen er kwaliteitscertificering mee delen en zo burgers informeren over de betrouwbaarheid en veiligheid van hun diensten, een soort Thuiswinkel Waarborg of Webshop Keurmerk, maar dan voor de hele EU. Consumenten kunnen hun concertkaartjes of voetbaltickets in hun wallet zetten en tonen bij de toegang.

Het zal de reiziger, de ondernemer en de onlineconsument wellicht als muziek in de oren klinken. Zo’n wallet scheelt een hoop gedoe. Nooit meer lange rijen voor identiteitscontroles bij de douane. Nooit meer je wachtwoord vergeten, want om in te loggen heb je geen wachtwoord nodig: de wallet zorgt voor snelle en eenvoudige controle. Toch zijn er ook grote bedenkingen.

Maar eerst die voordelen. Op individueel niveau zijn die groot: alles zit op één plek. Paspoort, identiteitskaart, rijbewijs en bankpassen verdwijnen allemaal uit de fysieke portemonnee. Velen betalen nu al met hun telefoon, dus die hebben straks zelfs geen portemonnee meer nodig. Heb je je telefoon bij de hand, dan kun je niets vergeten (tenminste, als je je oplader niet thuis hebt laten liggen).

Privacy-voordelen

De wallet biedt ook privacy-voordelen. Hoewel er een schat aan gegevens op staat, worden die slechts minimaal gedeeld. Wie nu een auto huurt, moet zijn rijbewijs laten zien. Daarop staat zijn geboortedatum, dus weet de verhuurder hoe oud hij is, terwijl voor deze transactie alleen de geldigheid van het rijbewijs van belang is. De wallet zal alleen die geldigheid bevestigen en toont geen extra gegevens.

Denk aan de QR-code op de coronapas: die geeft slechts een groen of een rood scherm, zonder medische gegevens te delen. Ook de digitale wallet zal louter zo’n groen vinkje of rood kruisje tonen, waarmee iedere EU-burger eenvoudig kan laten zien welke rechten hij heeft – van wonen tot werken, van studeren tot een uitkering – zonder dat hij persoonlijke gegevens overlegt.

Ook online zaken doen is makkelijker. Automatische controles zorgen dat transacties sneller worden afgehandeld. En ze zijn ook veiliger: dankzij die digitale identiteit weet je wie de onbekende is met wie je zaken doet. Ook hier worden enkel noodzakelijke gegevens gedeeld en dus vermindert de kans dat cybercriminelen gegevens onderscheppen en misbruiken. Sterke encryptie zorgt voor goede beveiliging, waardoor kans op verlies of diefstal kleiner is dan bij papieren documenten en plastic pasjes.

Bart Custers (1976) studeerde technische natuurkunde en rechten. Hij is hoogleraar Law and data science aan de Universiteit Leiden en directeur van eLaw, het centrum voor recht en digitale technologie aan diezelfde universiteit. Zijn onderzoek richt zich op de maatschappelijke gevolgen van technologische ontwikkelingen. Hij schreef acht boeken.

Snelle, gebruikersvriendelijke en betrouwbare oplossingen vergroten het vertrouwen. Omdat dit een Europese oplossing is, zal het aantal onlinetransacties tussen lidstaten toenemen, zal de Europese markt verder integreren, zullen productiviteit, concurrentie en innovatie toenemen. En zo bereikt de Europese Commissie haar doel om de economische positie van de EU in de wereld te verstevigen.

Maar nu die bedenkingen. Het plan van de Commissie heeft te veel losse eindjes. De EU zal de technologie om de wallet te laten functioneren niet zelf ontwikkelen. Dat is niet haar taak en dat kunnen de ambtenaren in Brussel ook niet. Wat de EU wel doet: ze maakt wetgeving. Die wetgeving beschrijft weliswaar wat er moet komen, maar het is zeer de vraag of dat daadwerkelijk gebouwd kan worden. Bij de eIDAS-verordening lukte dat niet en de kans is groot dat de techniek ook nu verzandt.

Een groot technologiebedrijf zal de klus krijgen

De gebruikelijke route om aan een goed werkend systeem te komen is aanbesteding: bedrijven schrijven in en de beste aanbieder – dat wil zeggen de goedkoopste die aan alle randvoorwaarden voldoet – mag het bouwen. Gelet op de omvang van deze opdracht zal dat een groot technologiebedrijf zijn.

Om die klus te klaren, heeft dat bedrijf toegang nodig tot al die uiterst persoonlijke data van al die miljoenen EU-burgers. Dat is nogal een risico. Grote technologie­bedrijven hebben nu al enorm veel macht, die moeilijk te controleren en nauwelijks te beteugelen is. Meerdere maken zich schuldig aan schending van de regels voor mededinging en privacy. Toezichthouders komen handen tekort om naleving af te dwingen.

Daar komt bij dat de opslag van al die gegevens – gekoppeld aan die ene, specifieke Europese burger– de wallet tot ideaal doelwit maakt voor hackers. Dat dit stevig mis kan gaan, bleek in 2011 toen DigiNotar, gebaseerd op DigiD, werd gehackt en Nederlandse overheidsdiensten dagenlang platlagen.

Het nieuwe systeem moet dus extreem goed beveiligd worden. Dat kan, maar dat kost heel veel geld en maakt het systeem trager. En een traag systeem zullen burgers en bedrijven niet waarderen en dus minder graag gebruiken.

Het risico van identiteitsfraude loert

Geen enkel systeem is voor de volle 100 procent veilig, dus loert het risico van identiteitsfraude. Als het systeem wordt gehackt, kunnen criminelen de digitale EU-identiteiten gebruiken om hotels en huurauto’s op andermans rekening te boeken. Dat wordt vaak snel ontdekt, maar dan is er wel al schade.

Bovendien, zo weet elk slachtoffer van identiteitsfraude maar al te goed, is een gecompromitteerde identiteit lastig te vervangen. Een wallet die gehackt is, kun je weliswaar blokkeren, maar dan heeft het slachtoffer nog niet zomaar een nieuwe. En het leven is knap lastig als alles in je geblokkeerde wallet zit.

Ook zonder hacks zijn er risico’s. De wallet geeft overheden op vele niveaus toegang tot een zee aan gegevens. Met die gegevens kan bijvoorbeeld een gemeente onderzoeken onder welke bevolkingsgroepen armoede, werkeloosheid of criminaliteit voorkomt. Ze kan dit doen met de beste bedoelingen, om die problemen op te lossen. Maar zo’n onderzoek kan ook leiden tot discriminatie. Wordt een wijk als probleemwijk aangeduid, dan werkt dat stigmatisering van bewoners in de hand. De toeslagenaffaire laat zien dat burgers flink in de knel komen als ze in risicogroepen worden gezet waar ze maar moeilijk uit geraken.

De Tweede Kamer uitte begin juni grote bezwaren tegen de wallet. Kamerleden willen garanties dat gegevens niet centraal worden opgeslagen in een Europese databank. Centrale opslag vergroot de veiligheidsrisico’s en maakt risicoprofilering wel erg verleidelijk.

Het liefst ziet de Kamer dat EU-landen afspreken hoe ze elkaars nationale systemen, zoals DigiD, kunnen gebruiken. Maar dat verkleint de kans dat de EU haar doel bereikt, want die systemen communiceren slecht met elkaar en zijn dus geen EU-brede oplossing.

Een onmogelijke eis

Ook wil de Kamer dat de software en de gegevens nooit in handen van big tech of andere private partijen komen. Dat is een onmogelijke eis, aangezien een private partij de software zal moeten ontwikkelen. Als ze niet bij de gegevens mogen, kunnen ze de technologie niet bouwen.

Zowel de Europese Commissie als de Tweede Kamer lijken te onderschatten hoe ingewikkeld een project als dit is. Ter illustratie: elke overheidsinstelling in de EU moet in het systeem kunnen werken. Alleen in Nederland al zijn er meer dan 300 gemeenten die paspoorten en rijbewijzen uitgeven. In de hele EU gaat het om duizenden organisaties, die nu allemaal andere ICT gebruiken.

De Nederlandse overheid heeft geen beste reputatie als het gaat om grote ICT-projecten en die van andere lidstaten en van Brussel is niet veel beter.

De Europese Commissie maakt grote haast met dit project en is de eerste contracten al aan het aanbesteden. Maar het is onduidelijk hoe aan alle bezwaren tegemoet wordt gekomen. Hoe voorkomen we dat er een onveilig systeem wordt opgetuigd, of een traag en gebruikers­onvriendelijk systeem? Hoe voorkomen we dat de big tech-bouwer of de overheid een duik neemt in die ongekende bron van data? Kortom, hoe bedienen we Europese burgers en bedrijven zonder hun belangen uit het oog te verliezen? We weten het niet.

Dat wringt extra nu de Europese Commissie de wallet voor iedere burger verplicht wil stellen. Je kunt je er niet aan onttrekken. Dat vereist een feilloos systeem. Wil ze haar doel niet voorbijschieten, dan moet de Commissie eerst haar huiswerk doen. Daarna kan ze in kleinschalige pilots testen of het werkt. Vertrouwen komt te voet en gaat te paard, dus pas als blijkt dat het systeem alle kwaliteitstoetsen doorstaat, kan het in heel Europa worden ingevoerd.

En als blijkt dat het niet goed werkt, dan is het beter het plan te laten varen.

Wilt u zo’n Digital Identity Wallet? Reacties (max. 150 woorden) zijn welkom via tijdgeestreacties@trouw.nl. Graag naam en woonplaats vermelden.

Lees ook:

Is het het einde van de advertentie-cookie in zicht?

Reclamemakers vermoedden decennialang dat ze de helft van hun budget weggooiden. Welke helft, dat wisten ze in het analoge tijdperk niet. Toen was daar het cookie, dat websitebezoekers volgt en ze gepaste reclames voorschotelt. Dat leek een uitkomst, maar het schendt de privacyregels. Bye bye cookie?

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2022 DPG Media B.V. - alle rechten voorbehouden